月刊主编:杨洪泉、沈飏
01 中国法律观察
立法追踪
MIIT Trial Emergency Plan for Data Security Incidents
《工业和信息化领域数据安全事件应急预案(试行)》
2024年10月31日,工业和信息化部发布《工业和信息化领域数据安全事件应急预案(试行)》,规定了数据处理者一旦发现数据安全事件应当履行的义务,包括但不限于:
(1)立即根据数据安全事件的影响范围和危害程度,判定数据安全事件级别(包括特别重大、重大、较大和一般四个级别)。对自判为较大及以上事件的,应当立即向地方行业监管部门报告。
(2)立即进入应急状态,根据事件级别分别采取相应的处置措施,开展数据恢复或追溯工作。
(3)重大及以上数据安全事件应急处置工作结束后,涉事数据处理者应当及时形成总结报告报地方行业监管部门。
该规定附件提供了“数据安全事件上报(模板)”“数据安全事件应急处置工作总结报告(模板)”等材料供企业参考。
来源:
https://www.miit.gov.cn/jgsj/waj/wjfb/art/2024/art_b051a6efc2ac4f3c94123c5bb8cb9b22.html
Definitions of Terms in the Field of Data Open for Comment
《数据领域名词解释》征求意见
国家数据局2024年10月21日发布公告,就《数据领域名词解释》向社会公开征求意见,以推动数据领域术语的统一认识。征求意见期为2024年10月21日至11月20日,公众可通过电子邮件反馈意见。该文件详细解释了数据、原始数据、数据资源等38个关键术语。
来源:
https://mp.weixin.qq.com/s/umcmcauam6hy0e-3vjmvyw
MIIT Launches Pilot Program for Foreign Invested Entities to Offer Value-added Telecommunications Services
增值电信业务扩大对外开放试点正式启动
2024年10月23日,工业和信息化部组织召开增值电信业务扩大对外开放试点工作座谈会,正式启动北京、上海、海南、深圳四地增值电信业务扩大对外开放试点工作。本次扩大对外开放试点工作的背景是工信部2024年4月10日发布的《关于开展增值电信业务扩大对外开放试点工作的通告》,在四个试点地区取消互联网数据中心(IDC)、内容分发网络(CDN)、互联网接入服务(ISP)、在线数据处理与交易处理,以及信息服务中信息发布平台和递送服务(互联网新闻信息、网络出版、网络视听、互联网文化经营除外)、信息保护和处理服务业务的外资股比限制。建议有意参与试点开放的外资企业持续关注四个试点地区的后续动向。
来源:
https://mp.weixin.qq.com/s/aemikoxnibxq3xaufegdlg
2 Regulations on Public Data Resources Open for Comment
《公共数据资源登记管理暂行办法》《公共数据资源授权运营实施规范(试行)》征求意见
2024年10月12日,国家发展改革委和国家数据局分别发布公告,就《公共数据资源登记管理暂行办法》和《公共数据资源授权运营实施规范(试行)》公开征求意见,以规范公共数据资源的管理和运营。两项规范旨在构建全国一体化的公共数据资源体系,保护国家安全和个人隐私,同时促进数据要素市场化配置。征求意见截止日期均为2024年11月11日。
来源:
https://www.tc260.org.cn/front/postDetail.html?id=20240918084858
https://mp.weixin.qq.com/s/Mewd4PC29jN-z1CC-myhcQ
Trustworthy Data Space Development Action Plan (2024-2028) Open for Comment
《可信数据空间发展行动计划(2024—2028年)》征求意见
2024年10月18日,国家数据局发布公告,就《可信数据空间发展行动计划(2024—2028年)》公开征求意见,旨在引导和支持可信数据空间发展,促进数据要素合规高效流通使用,加快构建数字经济。该计划提出到2028年建成100个以上可信数据空间的目标,并形成广泛互联、资源集聚、生态繁荣的可信数据空间网络。征求意见时间为2024年10月18日至10月27日,公众可通过电子邮件反馈意见。
来源:
https://mp.weixin.qq.com/s/AeejoraZiqtFRaK9mo2_jw
典型案例
Beijing Internet Court Releases Typical Cases Involving Personal Information and Data
北京互联网法院发布涉个人信息及数据典型案例
2024年10月31日,北京互联网法院发布了八起与个人信息及数据相关的典型案例。这些典型案例分别着眼于个人信息处理活动中的合法、正当、必要和诚信原则、用户同意的有效性、个人信息安全保障业务、企业数据权利保护、重要格式条款的提示义务、AI技术的合规使用、已公开信息的处理规则以及社交平台账号的管理责任,对企业的个人信息处理活动提供了重要的实践指引。
来源:
https://mp.weixin.qq.com/s/500PiHzTpl3VZ9Vg75lbwg
Medical Technology Company in Shanghai Penalised For Data Breach
上海某医疗科技企业因数据泄露被处罚
2024年10月14日,上海网信办通报一则数据泄露处罚案例。上海网信办接到线索,反映属地某医疗科技公司所属系统存在网络安全漏洞,致使系统大量个人信息数据发生泄漏被境外IP访问窃取。上海网信办在了解线索后立即开展了现场核查。经查实,该企业未采取有效网络安全防护措施,存在未授权访问漏洞,网络和数据安全管理制度不完善,网络日志留存不足6个月,造成数据泄漏被窃取,违反了《数据安全法》第二十七条规定。针对以上违法情况,上海市网信办依法对该医疗科技公司给予警告,并处以罚款的行政处罚。
来源:
https://mp.weixin.qq.com/s/p1zx0XpCV6nQwNb9vnD0dQ
Shanghai CAC Rectifies the Misuse of Facial Recognition Technology in Subway Vending Machines
上海市网信办全面整治地铁站内自动售货机人脸识别技术滥用问题
2024年10月14日,上海市网信办宣布全面整治地铁站内自动售货机滥用人脸识别技术问题。针对市民举报和媒体曝光,上海市网信办发现部分自动售货机存在违规收集个人信息现象,特别是存在强制、被动式“刷脸”消费等现象。上海市网信办联合市场监管局、国资委约谈涉事企业,要求整改,并指导申通地铁对全市地铁站内自动售货机进行排查,暂停829台问题机器的人脸识别功能。上海市网信办强调,人脸信息属于敏感个人信息,企业应依法审慎使用,并采取严格保护措施。
来源:
https://mp.weixin.qq.com/s/h0LJiqtPd0jPT5fjIiga5w
官方通告
MIIT Releases 8th Batch of Apps (SDKs) Violating User Rights in 2024
工信部发布2024年第8批关于侵害用户权益行为的APP(SDK)通报
2024年9月29日,工业和信息化部发布通报,指出在近期组织的第三方检测中发现21款APP及SDK存在侵害用户权益行为,要求相关APP及SDK按照规定进行整改,若整改不到位,将依法依规进行处置。相关问题包括:信息窗口“摇一摇”乱跳转、违规收集/使用/超范围收集个人信息、APP强制、频繁、过度索取权限、信息窗口点击乱跳转、APP频繁自启动和关联启动、信息窗口未提供关闭或退出标识、SDK信息公示不到位等。
来源:
https://wap.miit.gov.cn/jgsj/xgj/gzdt/art/2024/art_7471539a36f04791a88ee6a66536f17a.html
China Cybersecurity Association Suggests Cybersecurity Review of Intel Products, Intel China Responds
中国网安协会建议对英特尔产品启动网络安全审查,英特尔中国回应
2024年10月,中国网络空间安全协会指出英特尔产品存在安全漏洞频发、故障率高等问题,建议启动网络安全审查,以维护国家安全和消费者权益。英特尔回应称,公司始终将产品安全和质量放在首位,并严格遵守业务所在地的法律法规。英特尔强调与客户和业界的合作,致力于确保产品安全,并将与相关部门沟通澄清疑问。
来源:
https://mp.weixin.qq.com/s/rgRmOfoPr7x1TZhyb-1ifg
https://mp.weixin.qq.com/s/Bu7nQ5p8bd5nwRSxpJkk_w
02出海法律观察
聚焦欧洲
欧盟《网络弹性法案》
2024年10月10日,欧盟委员会通过了《欧盟网络弹性法案》(Cyber Resilience Act),旨在确保硬件和软件产品的网络安全。该法案将强制要求制造商和零售商对含有数字组件的产品实施全生命周期的网络安全措施。从婴儿监视器到智能手表,所有联网产品都将受到新标准的约束。法案将确保产品在市场上的统一规则,以及在规划、设计、开发和维护过程中的网络安全要求。一旦法规生效,符合新标准的软件和产品将带有CE标志,表明它们符合网络安全标准。该法案预计将于2024年下半年生效,制造商需在2027年前确保其产品符合规定。这一法案是欧盟2020年网络安全战略的一部分,与NIS2框架等其他立法相辅相成,将对网络安全和产品合规产生重要影响。
来源:
https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
EDPB颁布GDPR下“合法利益”作为合法性基础的适用指南
EDPB颁布《基于GDPR第6(1)(f)条的个人数据处理指南》,主要介绍了企业在处理个人数据时,应当如何理解并适用GDPR第6(1)(f)条合法利益的合法性基础。该指南包括以下核心内容:评估合法利益作为合法性基础的要素(数据控制者或第三方追求合法利益、处理必要性分析、权衡测试方法论),合法利益与数据主体权利的关系(数据主体权利介绍、访问权、拒绝权、被遗忘权、自动化个体决策、更正权、限制处理权),基于场景的合法利益应用分析(儿童个人数据处理、公共机关处理数据、防止欺诈目的的处理、因直接营销目的处理数据、集团内部行政目的处理、确保网络和信息安全的处理、向主管机关传输个人数据、回应和披露给第三国机关的请求)。
来源:
https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202401_legitimateinterest_en.pdf
欧盟委员会拟就“标准合同条款”开放公开咨询渠道
标准合同条款(SCC)是欧盟数据出口方可以在其合同中纳入的数据保护范本条款,以便根据《通用数据保护条例》(GDPR)的要求将个人数据转移给第三国的数据进口方。此前欧盟委员会已经发布了4个SCC模块,此次欧盟委员会拟开放公开咨询的新模块则强调适用于向位于欧洲经济区之外且直接受GDPR约束的第三国控制者和处理者进行的数据传输。
来源:
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14404-Standard-contractual-clauses-for-the-transfer-of-data-to-third-country-controllers-and-processors-subject-to-the-GDPR_en
欧盟委员会通过首个关于加强关键实体网络安全的新实施细则
欧盟委员会于2024年10月17日采纳了NIS2指令下的首个网络安全实施规则,旨在提升欧盟关键实体和网络的网络安全。该规则详细规定了关键实体的网络安全风险管理措施和重大事件报告要求。涉及的公司包括云计算、数据中心、在线市场、搜索引擎和社交平台等数字服务提供商。所有成员国需在10月18日前将NIS2指令转化为国内法律,并执行相关监管和执法措施。NIS2指令旨在加强网络安全,覆盖关键经济和社会领域,强化供应链安全,简化报告义务,并在成员国间协调制裁制度,以增强网络安全信息共享和危机管理合作。实施条例将在《欧盟官方公报》发表后20天生效。
来源:
https://digital-strategy.ec.europa.eu/en/library/nis2-commission-implementing-regulation-critical-entities-and-networks
EDPB发布《关于依赖数据处理者和转委托处理者的某些义务的意见》
《关于依赖数据处理者和转委托处理者的某些义务的意见》响应了此前丹麦数据保护当局SA要求EDPB根据GDPR第64(2)条发布应用意见的请求。该意见解释了控制者依赖于处理者和转委托处理者处理数据时的义务与责任承担问题,以及“控制者-处理者”的合同表述等。控制者的义务包括但不限于:始终能够提供所有处理者、转委托处理者的身份信息,能够验证(转委托)处理者是否提供了充分保证,能够确保欧洲经济区以外的数据传输不会削弱GDPR所要求的保护水平等。
来源:
https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-222024-certain-obligations-following_en
EDPB发布关于《电子隐私指令》第5(3)条技术范围的指南
《电子隐私指令》由欧盟于2002年制定,后于2009年修订,旨在保护在公共通信网络环境下提供电子通信服务所产生的个人数据。随着数据跟踪技术的不断发展,其既有的技术范围的相关规定亟待更新,本次EDPB发布的《电子隐私指令》第5(3)条技术范围的指南旨在对《电子隐私指令》第5(3)条技术范围予以解释并提供应用场景分析,明确了《电子隐私指令》第5(3)条可适用性的三大关键要素(即“信息”、“订阅者或用户的终端设备”、“访问路径”以及“信息的存储和已存储的信息”),对于常用技术的应用场景进行了非穷尽性的列举和分析(如URL(统一资源定位符)和像素跟踪、本地处理、仅基于IP进行跟踪、间歇性和媒介性的物联网(IoT)报告、唯一标识符)。
来源:
https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22023-technical-scope-art-53-eprivacy-directive_en
欧盟委员会发布“欧盟-美国数据隐私框架”首次审查结论
此次审查背景为《“欧盟-美国数据隐私框架”充分性决定》,该决定认可从欧盟向美国组织传输的个人数据提供了充分保护,但要求欧盟委员会在通知成员国后的一年内进行首次定期审查。此次审查旨在验证“欧盟-美国数据隐私框架”是否已得到充分执行且有效运行,考虑了充分性决定以来的法律发展。审查结果认为美国当局已建立必要的结构和程序,确保“欧盟-美国数据隐私框架”的有效运行。
来源:
https://www.gegevensbeschermingsautoriteit.be/publications/information-brochure-on-artificial-intelligence-systems-and-the-gdpr.pdf
欧盟委员会根据《数据服务法》对Temu正式启动法律程序
2024年10月31日,欧盟委员会基于对Temu提供的风险评估报告和对欧盟委员会信息请求答复的初步分析,宣布正式启动对Temu的法律程序,以调查Temu是否销售非法产品、存在服务的潜在成瘾设计,以及其用户推荐系统、研究员的数据访问行为是否违反了《数字服务法》(DSA)。Temu因其在欧盟的月活跃用户超过4500万,于2024年5月31日被认定为超大型在线平台(VLOP),Temu必须遵守DSA中规定的适用于VLOP的最严格义务,包括评估并减轻其服务带来的任何系统性风险。此次法律程序的启动不会妨碍其他可能的执法行动,委员会将继续收集证据并有权采取进一步的执法措施,包括作出不合规决定或接受Temu整改的承诺。
来源:
https://ec.europa.eu/commission/presscorner/detail/en/ip_24_5622
网络平台利用公开个人数据开展定向营销存在限制
2024年10月,欧盟法院公布C-446/21号案判决,该案由隐私专家Schrems提起,其认为Meta处理其个人数据时违反了GDPR的多项规定,尤其是在未经同意的情况下,使用其个人数据(包括性取向等敏感数据)进行定向营销。法院裁决(1)GDPR中规定的数据最小化原则禁止数据控制者将从数据主体或第三方获取的任何个人数据,不受时间限制且不分数据类型地进行汇总、分析和处理,以用于定向广告目的。(2)即使个人公开其性取向等数据,也不意味着平台可以无限制地处理与该信息相关的其他个人数据,特别是当这些数据是通过平台之外的第三方获取时。
来源:
https://curia.europa.eu/juris/document/document.jsf?text=&docid=290674&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=3612231
英国发布新的数据保护审计框架
2024年10月7日,英国信息专员办公室(ICO)发布了一个新的数据保护审计框架,旨在帮助组织自我评估其在数据保护法下的关键要求合规性。该框架提供了实用的工具,以建立和维护隐私管理,并鼓励组织将数据保护视为资产而非仅是法律要求,以增强合规性、改善内部流程,并确保客户信息得到妥善处理。
来源:
https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/10/new-data-protection-audit-framework-launched/
荷兰发布关于AI监管的立场文件
2024年10月7日,荷兰数据保护局(AP)就AI的监管和规范解释发布了立场文件,讨论了关于人工智能(AI)的监管和规范解释。AP提出了十项行动,以促进荷兰AI的价值观驱动应用,包括制定国家算法和AI计划以及投资可持续AI创新生态系统。强调了立法者、政府和监管机构在实现这些行动中的关键作用,并强调了在享受AI创新的同时保护基本权利的重要性。
来源:
https://autoriteitpersoonsgegevens.nl/documenten/position-paper-ap-rondetafelgesprek-toezicht-en-normuitleg-ai
北美观察
美国拜登政府《关于推进美国在人工智能领域领导地位的备忘录》
2024年10月24日,美国拜登政府发布了一份名为《关于推进美国在人工智能领域领导地位的备忘录》的国家安全备忘录,旨在推进美国在人工智能(AI)领域的领导地位,利用AI实现国家安全目标,并促进AI的安全性、保障性和可靠性。备忘录强调了AI对国家安全的重要性,提出了三个主要目标:领导全球开发安全、可靠、可信的AI;利用AI实现国家安全目标;以及培养稳定和负责任的国际AI治理框架。同时,强调了保护人权、公民权利、隐私和安全的重要性,并要求政府与行业、民间社会和学术界合作,确保美国AI创新的安全、保障和信任度。
来源:
https://www.whitehouse.gov/briefing-room/presidential-actions/2024/10/24/memorandum-on-advancing-the-united-states-leadership-in-artificial-intelligence-harnessing-artificial-intelligence-to-fulfill-national-security-objectives-and-fostering-the-safety-security/
美国新闻集团起诉人工智能搜索引擎Perplexity抄袭
据路透社2024年10月21日报道,新闻大亨默多克旗下的道琼斯和纽约邮报对人工智能初创公司Perplexity AI提起诉讼,指控其非法抓取新闻报道内容,并将其用于训练AI以生成用户问题的答案,从而绕过新闻网站。新闻集团认为这种行为侵犯了版权,损害了记者、作家和出版商的利益,并剥夺了他们的关键收入来源。
来源:
https://www.reuters.com/legal/murdoch-firms-dow-jones-new-york-post-sue-perplexity-ai-2024-10-21/
加州州长签署两项CCPA修订法案
2024年9月28日,加州州长Gavin Newsom签署了两项法案(A.B. 1008和S.B. 1223),对2018年的加州消费者隐私法案(CCPA)进行了修订,将“消费者的神经数据”(指通过测量消费者中枢或外周神经系统活动产生的信息,且不是从非神经信息推断出来的信息)纳入“敏感个人信息”的范围中,并明确个人信息可以存在于多种格式,包括物理格式(如纸质文件、印刷图像、黑胶唱片或录像带)、数字格式(如文本、图像、音频或视频文件)以及抽象数字格式(如压缩或加密文件、元数据或能够输出个人信息的人工智能系统)。以上修订预计将于2025年1月1日生效。
来源:
敏感个人信息定义:
https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=202320240SB1223
公开可用数据:
https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=202320240AB1008
万豪与美国联邦贸易委员会达成和解
2024年10月9日,美国联邦贸易委员会(FTC)要求万豪国际及其子公司喜达屋酒店集团实施全面的信息安全计划,并同意允许美国客户请求删除与电子邮件地址或忠诚度奖励账户号码相关的个人信息,以解决2014至2020年间发生的三次共影响全球超过3.44亿客户的大规模数据泄露事件。万豪同意向49个州和哥伦比亚特区支付5200万美元罚款以解决类似数据安全指控,并承诺加强全球酒店的数据安全措施。
来源:
https://www.ftc.gov/news-events/news/press-releases/2024/10/ftc-takes-action-against-marriott-starwood-over-multiple-data-breaches
美国决定2025年起限制半导体和微电子、量子信息技术、AI领域对华投资
2024年10月28日,美国财政部发布了一项最终规则,以实施美国总统拜登于2023年8月9日发布的第14105号行政命令“解决美国在受关注国家对某些国家安全技术和产品的投资问题”。该规则关注美国企业和美国人对中国半导体和微电子、量子信息技术以及人工智能系统等三个关键领域的投资,新规将于2025年1月生效。
来源:
https://www.reuters.com/technology/artificial-intelligence/us-finalizes-rules-curb-ai-investments-china-impose-other-restrictions-2024-10-28/
洞悉亚太
韩国《自动驾驶AI发展使用个人图像信息保护的标准》
韩国个人信息保护委员会自去年3月开始成立研究小组,并根据各种移动图像信息处理设备的特性、判断记录图像时不正当权利侵害问题的标准以及记录图像的处理阶段(拍摄、使用、提供、存储、销毁等)应遵守的个人信息保护事项编写标准。标准的主要内容包括:保护和利用个人影像信息的八项基本原则(相称性、合法性、透明度、安全、责任感、目的限制、控制保证、保护隐私)、个人影像信息处理各步骤的合规指南及建议、人工智能(AI)学习的保护措施与示例、个人影像信息的安全保管和管理。
来源:
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=10678
日本多所大学发生云ID管理相关的信息泄露事件
日本个人情报保护委员会强调关于使用云ID管理服务时的安全管理措施。近日,日本多所大学在使用云ID管理服务时发生个人信息泄露事件,其使用云ID管理服务来集中管理ID和访问控制,但出现了非预期的个人数据(如姓名和邮件地址)在不同大学的用户(教职员工和学生)之间长期可被查看的情况。日本个人情报保护委员会强调在使用云ID管理服务时,必须严格遵守个人信息保护法的相关规定,并采取有效的安全管理措施,确保个人信息的安全性和保密性,选择可靠的云服务提供商、加强用户安全教育和意识培养、制定应急响应计划以及持续监控和改进等保障个人信息安全的重要环节。
来源:
https://www.ppc.go.jp/news/careful_information/241030_alert_idaas/
环球拾遗
沙特阿拉伯发布个人数据泄露指南
2024年10月21日,沙特数据和人工智能管理局(SDAIA)发布了《个人数据泄露事件程序指南》,旨在规范处理个人数据泄露的流程,以减轻对数据主体的影响和潜在风险。根据指南,若预计泄露事件可能侵害个人数据或数据主体权益,控制者须在72小时内通知SDAIA,并采取相应措施以应对和控制泄露。此外,指南还要求控制者保存向SDAIA提交的数据泄露报告、所采取的补救措施以及所有相关记录/文件的副本。
来源:
https://sdaia.gov.sa/en/SDAIA/about/Documents/PersonalDataBreachIncidents.pdf
月刊概览
往期推荐
点击“阅读原文”查看月刊全部内容。
声 明
文章仅代表作者观点,不视为安杰世泽律师事务所正式法律意见或建议。如需转载或引用请注明出处。如有任何问题,欢迎与本所联系。
